计算机审计(Computer Audit)
目录 |
计算机审计是一种以计算机为先进的审计工具来执行经济监督、鉴证和评价职能的审计方式。
我国相关部门曾经对计算机审计作如下描述:“简单地讲,计算机审计包括对计算机管理的数据进行检查和对管理数据的计算机进行检查。”根据日本会计检察院计算机中心的观点,计算机审计有两方面的含义:一是对计算机系统本身的审计,包括系统安装、使用成本,系统和数据、硬件和系统环境的审计;二是计算机辅助审计,包括用计算机手段进行传统审计,用计算机建立一个审计数据库,帮助专业部门进行审计。
李学柔和秦荣生编写的《国际审计》中作如下定义:“计算机审计与一般审计一样,同样是执行经济监督、鉴证和评价职能。其特殊性主要在两个方面:一方面是对执行经济业务和会计信息处理的计算机系统进行审计,即计算机系统作为审计的对象;另一方面,利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对计算机进行审计还是利用计算机进行审计都统称为计算机审计。”至于电算化审计与计算机审计在内涵上人们的理解基本相同。
可见,对“计算机审计”一词的理解普遍存在两个方面,即对计算机进行审计和利用计算机进行审计。
我国的计算机审计始于20世纪70年代末,1985年全国人大常委会通过我国第一部《会计法》,1992年我国财政部发布《企业会计准则》,随后又发布了若干具体会计准则及征询意见稿,1993年全国人大常委会通过我国《注册会计师法》,1994年我国《审计法》开始实施,2000年国务院公布《企业财务报告》,2001年财政部又发布了新的不分行业的《企业会计制度》,并连续颁布、修订具体准则,促使我国的企业财务会计日渐趋向统一与健全。
从审计对象的涵义来看,计算机审计包含审计项目管理系统的计算机辅助审计、手工会计系统的计算机辅助审计和会计电算化系统审计三个方面的内容。
电算化信息系统审计的基本方法可归纳为三种:绕过计算机审计、通过计算机审计和利用计算机审计。
绕过计算机审计(Audit Around the Computer)
绕过计算机审计是指审计人员不审查机内程序和文件,只审查输入数据和打印输出资料及其管理制度的方法。 缺点:1。只有打印文件充分时才适用。2。要求输入与输出联系比较密切。审计结果不太可靠。
通过计算机审计(Audit through the computer)
通过计算机审计是指除了审查输入和输出数据以外,还要对计算机内的程序和文件进行审查。 缺点:1。审计技术较复杂。2。审计成本较高。
利用计算机审计(Audit with the Computer)
利用计算机审计是指利用计算机的设备和软件进行审计。 利用计算机审计的优缺与通过计算机审计的优缺点基本相同。
国内学者对计算机审计的研究是多方面的,从计算机审计理论到具体的计算机审计技术都有研究。
在计算机审计理论研究方面,傅元略在《会计发展的新领域——Cyber Accounting(计算机网络会计)》中提出了计算机网络会计的概念,以反映会计电算化的发展趋势。吕博的《在信息技术环境下审计理论的基础研究》从信息技术环境下审计理论基础的认定分析入手,对审计理论基础与审计理论以及审计基础理论之间的辩证关系进行了探讨,并分别就信息技术环境下审计理论基础的特点、内容和研究方法加以综合论述等。来明敏在《浅谈计算机审计模式》中介绍了可以从国际上借鉴的四种计算机审计模式,分别是绕过计算机审计模式、穿过计算机审计模式、利用计算机审计模式、在线实时(网络)审计模式;并认为应寻找对策,从促进审计人员更新观念、积极应用审计新技术、大力培养计算机审计人才、加快计算机信息系统环境下审计准则的制定、规范会计软件设计,以及加大审计软件开发力度等方面努力,尽快建立新的审计模式,从绕过计算机审计转变为穿过或利用计算机审计,最终建立在线实时审计模式,加快我国审计现代化进程。唐飞兵在《关于构建我国计算机审计理论体系的探讨》中系统地阐述了计算机审计理论体系的整体框架及各组成要素之间的相互关系,详细地分析了审计环境和审计本质作为计算机审计理论逻辑起点的合理性,并对计算机审计基本理论内部层次关系的构建进行有益的探讨。
也有不少学者在审计的技术应用方面做了研究。譬如,黄永平提出在计算机审计中,利用孤点分析法进行数据挖掘,发现一些特殊现象,比其他数据挖掘方法发现一些规律性的知识更有意义。何玉洁等在《计算机审计中的数据库技术》中介绍电子数据的特点开始,讨论SQL查询和 OLAP分析这两种技术在实际审计中的应用成果,展示它们在计算机审计实践中的特性和前景。
此外,学者们还对计算机审计的其他方面进行了研究。陈峰在《计算机审计方式下的数据分析报告》中分析了数据分析报告的作用及其必要性,并对数据分析报告的基本框架作了数据分析报告的文档结构,就其要素内容做出了规范建议。还分析了当前审计实践中对存在的一些认识上的误区,并就规范撰写数据分析报告的行为提出“制度形式对数据分析报告加以规范”和“审计组的讨论和审核来保证数据分析报告质量”的建议。罗莉等在《计算机审计中内部审计与外部审计的分工协作》中认为,尽管计算机审计内容、方法与手工审计有很多不同之处,但从性质、目的、职能等属性看,并没有本质区别。由于信息技术具有很强的渗透性,很难将计算机审计与具体审计业务分离出来,因此,计算机审计不可能独立于内部审计与外部审计之外。本文从审计主体的角度,综合考虑计算机审计的界定,提出在计算机环境中内外部审计既要分工又要协作的观点,并分析了分工协作的原则、内容等相关问题。赵辉在《计算机审计方式下的人员资源管理》中提出,在计算机审计方式下,一个单位的管理除了培养良好的单位文化,进行各种规章制度的建设之外,如何对审计人才进行管理,以适应这种革命性的变化显得至关重要;而对审计人员而言,又应该如何加强自身的素质,提高自身的能力,适应计算机审计的需要,这是一个亟待探讨的问题。
计算机审计风险也是一个众多学者讨论的焦点。冯淑霞等在《计算机审计风险的成因及对策》中就计算机审计风险的形成原因做了具体分析,包括传统审计线索逐渐消失、会计系统内控制度的改变、审计内容的改变、审计技术方法日趋复杂、审计人员计算机知识的缺乏、现行会计软件评审机制存在缺陷等六个方面;并从审计数据、审计方法与技术、审计方式、被审单位、评审机制等方面提出了控制计算机审计风险的对策。王奇杰在《浅析计算机审计下审计风险的控制》中分析了计算机审计下审计风险的新特征,并提出了控制审计风险的对策。
我国制定了相对完善的审计法规,如审计人员标准、现场作业标准、审计报告标准、职业道德规范等。但是目前涉及到信息化环境下的审计的法规非常有限,目前主要有:《会计核算软件基本功能规范》、《信息系统安全标准——计算机信息系统安全产品分类原则》、《信息技术会计核算软件数据接口》(GB/T19581-2004)。审计署1996年12月发布的《审计机关计算机辅助审计办法》指出了计算机辅助审计的内容、对审计人员的要求、对被审计单位的要求、审计机关与人员的责任等。中国注册会计师协会1999年2月颁布的《独立审计具体准则第20号——计算机信息系统环境下的审计》指出了在计算机信息系统环境下审计的一般原则、计划、内部控制研究、评价与风险评估和审计程序。国务院办公厅2001年11月16日颁布的《关于利用计算机信息系统升展审计工作有关问题的通知》,明确审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统,对信息系统的数据接口、电子信息的保存要求、系统的测试、网络远程审计和审计人员在计算机审计中的义务等做出了规定。在2006年2月颁布的《中国注册会计师审计准则》中,对计算机会计信息系统的审计不再单独成为一项准则,而是融入了各项准则之中。
审计软件的类型较多,国内有学者把它分为三类:一是计算机辅助审计类,集成业务管理系统与办公信息系统,具备公务处理、信息管理、信息共享三大功能,用计算机取代人工书写和计算等操作,完成日常审计业务工作,包括审计业务管理(审计文书类)、审计台账、审计计算、文件摘要、法规库及检索、收发文书管理、机关内部管理等;二是信息系统审计类,主要是电子数据的采集、转换、分析和对计算机信息系统本身的审计,即从现有的会计信息系统中获取数据查错纠弊,以及对信息系统及控制的审计,亦称1T审计,IT审计师目前是“稀缺人才”;三是网络审计类,是建立在网络基础上的审计信息系统,实施在网络环境下对经济管理和财务会计信息进行审计,实现现场审计与远程审计相结合,事后审计与事中审计相结合。
国外审计软件的研制与开发始于20世纪60年代中期,最初开发审计软件的是几个大型会计公司,后来一些软件公司也开始研制审计软件。经过几十年的发展,审计软件不断完善,目前已开发出便于使用、功能强大,为审计人员广泛接受的产品。其中加拿大和美国的IDEA 就是在目前市场上占居领先地位的产品。以ACL软件为例,ACL Services Ltd1987年创建于加拿大温哥华,在布鲁塞尔和新加坡设有办公机构,并在世界许多国家设有代理机构。ACL软件的主要功能有:数据转换、抽样、全面的项目监察、资料综合分析、报告。
国外的通用审计软件有强大的数据存取、访问和报告功能,并且易学易用,对审计人员的计算机水平要求也不高,在很多国家得到了广泛应用,并受到普遍欢迎。然而,通用审计软件也具有局限性,通用的审计软件只能进行事后审计而不能实施并行审计,即只能对应用系统处理后的数据进行审查,要想实施并行审计,则需使用并行审计技术。此外,通用审计软件对应用系统处理逻辑的验证也具有一定的局限性。
1990年11 月山西省审计局开发的“工业企业财务收支审计软件”是我国第一个通过审计署鉴定的审计软件。随后我国开发的政府审计软件有:太原特派办的“审计业务文书生成软件系统”、沈阳特派办的“通用审计系统”、南京审计学院的“工程造价审计2000”、山东省审计厅的“审计信息管理系统”、“工商企业财务收支审计系统”、“海关业务审计OIAP系统”、“海关业务审计软件1.0”、“国库业务审计软件”、武汉特派办的“办公决策服务系统”、“审计项目计划管理系统”、“收发文远程管理系统”、“上海市审计信息中心的”、“计算机辅助档案管理系统”、“审计项目管理系统”、“上审2.0工交企业版”;以及审计署组织开发的“审计实施系统”、“机关辅助办公系统”、“常用财经法规检索系统”、“统计报表软件”、“外资审计信息管理软件”等。几个在中国市场上占有较大份额、应用于各大企业内部审计的审计软件是:珠海金长源软件公司开发的“审计直通车”、上海博科资讯有限公司的“审计之星”、珠海中普软件公司开发的“中普软件”和北京用友安易技术软件公司的“用友GRPS审计软件”。
与国外的审计软件相比,我国审计软件研发起步较晚,直到20世纪90年代才开发出第一个审计软件。目前,审计软件在国外已得到广泛应用并普遍受到欢迎,而在我国只有少数单位开始试用或使用审计软件做辅助审计,我国审计软件的应用尚处于初级阶段。国内审计软件的开发是从单项业务模仿手工开始的,对于固定审计对象,有针对性的审计其效果还比较好。但是,从整体上来讲,国内审计软件的通用性还很不理想。目前,国内通用审计软件的功能还比较简单,具有一定的数据访问功能,可以执行一些常用的审计程序,如审计抽样、工作底稿的编制及生成试算平衡表等,但是其数据分析功能较差。国外占领先地位的审计软件,其软件公司在全球均建立销售网,由于技术水平不高等原因,目前试用或使用审计软件的用户依然较少,国内审计软件市场尚不具规模。
与传统手工审计一样,计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。计算机审计过程具体可细分为以下主要步骤:
1.准备阶段。①了解企业基本情况,与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料,归纳出被审计系统的特点和重点。②组织审计人员和准备所需要的审计软件。根据被审计企业会计电算化系统的构成特点,复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人,组成审计小组,准备审计软件。如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。
2.内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表输出的整个过程。一般采用如下的检查和会谈:①审阅上期的审计报告和管理建议书,初步了解上期系统的弱点。②检查会计电算化系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相应的功能。③检查输入数据的基本依据(电子数据和有关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况。④针对一些基本情况和上述检查发现的问题,与会计人员、系统开发和维护人员、程序员面谈,以便得到与司题相关的背景资料。⑤初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。
同时,审计人员还要对下列资料进行了解:①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量(数据处理量)。②系统的组织结构、各级管理的职责,以及计算机系统的负责人和系统管理人员。③系统内务应用子系统的控制类型和主要经济业务。
3.初步审查结果的评价。初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可行性程度,并作出结论。其结论可按以下三种方式之一作出:①退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题,审计人员可针对这些问题提出一些管理建议并退出审计。②对一般控制和应用控制进行进一步详细的审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的,实质性测试可作一些简化。③决定不依赖于内部控制。作出这一决定可能有两种原因:一是直接进行实质性测试更容易达到预定的审计目标;二是因为计算机内部控制系统可能不完善,各应用系统的用户自己增加了一些必要的补充控制,对补偿控制进行测试更易于达到审计的目的。
初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果,并对这些结果作出评价,为下一步应当怎样审计提供必要信息。
4.内部控制的深入审查。与初步审查一样,审计人员要判断是否退出审计,或是依赖系统的内部控制进入下一阶段符合性测试,或是直接进入实质性测试过程。对于某些应用子系统,审计人员可决定依赖于其内部控制,也可采用其他更适宜的审计过程。
5.符合性测试阶段。符合性测试阶段的目标是寻找证据确定计算机系统的内部控制制度是否在发挥作用,以及实际存在的控制制度是否可信赖。除了在前面审查中所用手工收集证据方法仍可用外,在这一步骤,审计人员基本上是用计算机辅助收集证据和验证审计计划中已提出的各项控制制度是否可依赖。
6.用户补偿控制的审查和测试。在某些情况下,审计人员可能决定不依赖计算机系统的内部控制,因为应用于系统的用户采用了一些补充控制来补充原控制制度的弱点。
7.实质性测试。实质性测试阶段的目标是取得充分的证据,使审计人员能作出计算机系统在各重大方面是否偏离公允性或存在哪些弱点的最后判断。实质性测试可分为六类:①出错处理的测试;②数据质量的测试;③数据一致性的测试;④实物盘点与计算机系统中的数据比较测试;⑤利用外部数据资源对系统内的数据进行的测试;⑥分析性检查测试。
8.全面评价和编制审计报告。通过上述的审计步骤,审计证据和对各项目的初步评价结果已经形成,但这些证据和初步评价的结果是比较分散的。全面评价的目的是将收集到的审计证据和初步评价结果进行综合,筛选出重要的证据和主要的问题,将这些问题和证据作为重点进行综合评价。评价的范围包括对会计数据的公允性、内控制度的健全性和有效性,以及会计电算化系统的效率性和效益性。在评价结果的基础上编制客观公正的审计报告和管理建议书。在报告提供给委托人之前,还应当征求被审计企业的意见,必要时对重大的问题进行追加审计,以保证审计报告和管理建议书有更高的可信度。编制审计报告和建议书的基本过程和方法都与传统审计一样。但应当注意的是,应用计算机进行审计,其审计结果汇总评价的许多方面可由计算机自动完成,甚至最终的审计报告也可由计算机辅助完成。
1.审计管理计算机化技术。计算机审计是一件复杂的工作,如果不借助计算机管理整个审计过程,就会出现许多问题并产生不良的后果。因此,应建立必要的审计管理数据和管理软件,为审计管理决策提供各项管理决策信息。
2.内部控制制度的评价测试技术。内部控制的审查和评价主要是为了找出以下问题的答案:
①系统内的部门和人员是否实施充分的职责分离和监督?
②数据文件。系统文档和软件的拷贝是否设有必要的控制制度?
③软件维护、数据修改是否有控制制度?利用控制则试技术可揭示内部控制的弱点,提出改进建议,保障内部控制制度正常发挥作用。
3.数据库或数据文件的审计技术。对数据库或数据文件的审计技术主要是为确保数据的完整性而创立的。计算机审计人员可利用这些技术获取所需的审计证据,并对这些证据进行评价,从而判断数据是否真实、可靠、完备、合法、合规。
4.应用软件的审计技术对用户的应用软件的审计主要是要评价一个系统的软件质量。软件质量的好坏直接影响数据的安全性和完整性。为确保系统发挥正常的作用,对软件的审计,尤其是对软件的维护审计,是一项重要的经常性的工作。这项审计也是计算机审计中最难的,需要有较熟练的计算机软件开发维护以及编程技术。
5.系统开发和维护的评价技术。新系统的开发和维护是为了改进原来系统的功能。在开发前一般都设定用户的目标,开发新软件就是根据这些目标进行的。但作为系统用户要清晰了解新软件是否达到既定的要求,需要对新系统在试运行期间进行必要的审计。所以这一审计技术比较特殊。
计算机审计证据也称电子数据系统审计证据,是指在电算化系统审计和计算机辅助审计过程中产生的,以其记录的内容与有关既定标准相符程度并作为审计结论基础的电磁记录物(凭据)。随着计算机在会计领域及其他管理领域中的普遍应用,审计的对象、方式、手段必然要发生很大变化,计算机审计证据将广泛地应用于计算机审计全过程。认真研究、探讨计算机审计证据的特性和规律,降低审计风险,已刻不容缓。
一是安全程度不同。计算机审计证据虽然具有较高的精密性,但也有较强的脆弱性。一方面,由于计算机信息是用二进制数据表示的,以数字信号的方式存在,而数字信息是非连续性的,如果有人故意或因为差错对计算机审计证据进行截收、监听、删除、剪接,从技术上讲审计人员难以查清。而且计算机操作人员的差错或供电系统、通信网络的故障等环境和技术方面的原因都会使计算机审计证据无法反映真实情况。另一方面,计算机信息是存贮在各种磁盘或磁带等中的,而磁性为载体的数据易遭损毁,可以不留痕迹地更改。另外,磁性载体巨大的存贮容量也意味着数据存贮具有集中化的特点。一张磁盘损毁所导致的数据损失要比几十本账簿丢失带来的损失大得多。在网络环境下,数据的通信传输又为远程操纵计算机破坏、修改计算机审计证据提供了更便利的条件。传统审计证据主要以纸张为载体,且有易读、不易更改,而且即便更改也往往留有痕迹等优点,安全性较高。二是表现形式不同。计算机审计证据在计算机屏幕上的表现形式是多样的,尤其是多媒体技术的出现,更使计算机审计证据综合了文本、数据、图像、图形、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机审计证据几乎涵盖了所有的传统证据。三是显现程度不同。计算机审计证据在存储、处理的过程中,必须用特定的二进制编码表示,一切信息都由这些不可见的无形编码来传递,因此计算机审计证据具有较强的隐蔽性,存贮于磁性载体中的多头数据文件,只有采用计算机并利用计算机程序才能阅读。传统审计证据,如实物证据、书面证据、言词证据等则一目了然。
由于计算机证据的脆弱性使得其真实性和安全性受到威胁,因此,计算机审计证据在支持审计报告中能起到多大作用或在诉讼中能否被采纳为证据就成为我们面临的难题。根据我国行政诉讼法的规定和审计专业教材对审计证据的分类,计算机证据似可归入“视听证据”类。但在具体操作中,应注意到,计算机接收到的电子信息是计算机系统重新显示或复制出来的,只能是原件的副本,不可能是传统意义上的有形“原件”。因此,笔者认为,计算机审计证据中的“原件”的概念应等同于复制品和副本。
证明力是把众多证据加以综合,恰当归纳,再加上审计人员的意见,所形成的证明被审计事项的能力。证据的证明力取决于该证据是原始证据还是派生证据、直接证据还是环境证据、外部证据还是内部证据。
有人认为,录音、录像等视听资料与计算机审计证据在技术上有着本质区别,而把计算机审计证据归入“书面证据”。其理由,一是书面证据是指以文字、符号、图画等内容证明被审计事项的证据。其特征在于以其内容证明审计事项事实。计算机审计证据虽然有多种外在表现形式,但都无一例外地以其内容证明审计事项事实,符合书面证据的特征。二是我国合同法已经将传统的书面合同形式扩大到数据电子形式,不管合同采取什么样的载体,只要可以有形地表现所载内容,即可视为符合法律对“书面”的要求。笔者认为,将计算机审计证据视为“视听”证据并归为间接证据比较符合当前计算机审计的实际。首先,如前所述,计算机审计证据容易被伪造、篡改,而且更改、伪造后不留痕迹,再加上计算机审计证据由于人为的原因或环境技术条件影响容易出错。因此,计算机审计证据应属于间接证据。
计算机审计证据的脆弱性,使得运用计算机审计证据来证明被审计事项时,必须加强鉴定和分析,以降低审计风险。对作为审计证据的电子文件、其内容是否被计算机网络入侵者或由被审计单位自己篡改、伪造的审查,将是对计算机审计证据进行鉴定和分析的最主要工作。
1.真实性。查明计算机审计证据的来源、形成的时间、地点、制作过程及设备情况,有无伪造和删改的可能性。一般说来,由第三方(如中间商或网络服务商)来储存记录或转存的计算机证据具有较高的证据效力;被审计事项的事实和行为发生时留下的计算机证据的效力较以后专为诉讼的目的而形成的计算机证据更为真实;对于自相矛盾、内容前后不一致或不符合情理的计算机审计证据,应小心对待,不可轻信,对不能排除合理怀疑的计算机审计证据不得采纳。
2.合法性。包括收集手段是否合法和形式条件是否合理两部分。有些审计证据其本身也有证据力,但在收集过程中,违背了规定的手续和程序,因而也就不具有法律效力,也不能用来证实问题,为此,鉴定分析计算机审计证据时,要了解证据是以什么方法、在什么情况下取得的,是否违背了法定的程序和要求,是否符合法律规定的形式要件,这样有利于判明审计证据的真伪程度和效力。
3.相关性。查明计算机审计证据反映的事实与被审计事项有无关系,只有与被审计事项的事实或逻辑上是相关的事实才能被认为是证据。
4.结合其他证据进行鉴定分析。将审计过程中收集的全部证据综合起来加以分析、判断。如审查计算机审计证据中有无数据、图表等反映的事实,同有关书证、物证、证人证言进行分析,明确是否互相一致,是否有矛盾。如果与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为审计证据。反之则不能作为审计证据。这就要求审计人员应具有一定程度的计算机机构与操作系统开发设计、电算化会计以及电算化系统控制与审计的有关知识。